パスワード管理における神（紙）ワザ：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

至るところで「パスワードリスト」攻撃による不正ログイン事件が起きている。これまで「パスワードの使い回しはダメ！」と言われてきたが、あまり浸透してはいないようだ。IPAも推奨するようになったパスワード管理の神（紙）ワザを考えてみたい。

[萩原栄幸，ITmedia]

　昨年、本コーナーで「パスワードクライシス」という言葉を提唱した。

• 「パスワードクライシス・前編　パスワードって何だ？」
• 「パスワードクライシス・中編　パスワード管理を取り巻く現実」
• 「パスワードクライシス・後編　無理のないパスワード管理をどうするか」

　そして、9月17日に情報処理推進機構（IPA）が「STOP!! パスワード使い回し!!」というキャッチフレーズでプレス発表を行った。ここで最も驚いたことは、IPAが一番に推奨する方法に「紙管理」を挙げた点だ。筆者が以前から紙管理が有効な対応策だと提起してきた。

　今までIPAは、基本的に「紙によるパスワード管理はあり得ない」という考えだった。2013年8月1日に「 全てのインターネットサービスで異なるパスワードを！」という呼び掛けを行い、その中で具体策に「IDとパスワードを記載したリストをパスワード付きの電子ファイルとして保持することを勧めます」と記載している。

　この呼び掛けからまだ1年しか経過していないが、今回は「パスワードの使い回しを避けるための適切な管理方法」で次の3つを掲載している。

• 紙のメモ
• 電子ファイル（パスワード付き）
• パスワード管理ツール

　推奨している方法が大きく変わった。でも、すぐに訂正（？）していることは、とても謙虚で良いことだと思う。この3つの方法について筆者なりの見解を紹介したい。

紙のメモ

　これは、前回では言葉だけで推奨策にはなかった。これを最初に挙げたのは、とても感心させられる。現実的な考えだ。紙は様々な脆弱性が内包されるが、その対応も多種あり、適切に管理すれば少なくともリスト攻撃の犯人グループから奪取される可能性は無いに等しい。

　ただ、内部犯罪という視点からはそのままではなく、少しだけひねった対応が良いと思う。昨年筆者が記載した「パスワードクライシス」シリーズの中で、「専門家なら、紙の管理は脆弱すぎるというかもしれないが、現状では現実世界の犯罪とネット上のリスクとの相関の中で『紙』にするしかない」と断言した。

電子ファイル（パスワード付き）

　この文字だけを見ると昨年のIPAが推奨したものと同じだが、内容が異なる。昨年は、重要度によってはIDとパスワードを別々のファイルにする様に推奨していたが、それが割愛された。これも筆者が指摘したように、実際に管理できるわけがなく、何年も保守を続けていくにはとても不適切な対応策だとお伝えした。

　ただ、ZIPファイルやOfficeファイルで頻繁に使われている“暗号化”は、とても脆弱である。ZIPファイルなら、無料のパスワード解析ツールが多数あり、日本人が作成したものもある。Officeファイルではお金さえかければ解析ツールもある。攻撃者が愉快犯的な個人のマニアックの学生ならそれでもある程度の障壁になるが、相手のサイバー攻撃者はシンジケートなどの組織犯罪グループであることも多いので、ほとんど意味がないかもしれない。

パスワード管理ツール

　以前、IPAはなぜ手間のかかる管理手法だけを提示し、パスワード管理ツールを掲載しなかったのか疑問に感じた。「パスワードクライシス」シリーズの中で、「セキュリティの専門機関としてはまずく、国民に選択肢をきちんと提示し、決めるのは自己責任という形の方が好ましい」と記載した。これについて批判はできない。なぜなら、その後にIPA内部で多分に検討された結果、掲載すべきと判断されたように思うからだ、とても柔軟な考えであり、そこは敬意を示したい